Критична вразливість у WordPress

20 лютого 2024 1 хвилина Автор: Newsman

З’явилася тривожна новина про активні атаки на тему Bricks для WordPress, які впливають на понад 25 000 веб-сайтів. Виявлена критична помилка безпеки, відома як CVE-2024-25600 з оцінкою CVSS 9,8, дозволяє неавтентифікованим зловмисникам виконувати довільний PHP-код на вразливих сайтах.

Ця вразливість стосується всіх версій до 1.9.6 включно. Розробники теми швидко відреагували на проблему, випустивши оновлення 1.9.6.1 13 лютого 2024 року, невдовзі після того, як 10 лютого про недолік повідомила компанія з безпеки WordPress Snicco. Втім, хоча експлойт підтвердження концепції (PoC) не був опублікований, технічні деталі вразливості були розкриті. Вразливий код знаходиться у функції pripravi_query_vars_from_settings(), яка використовує маркери безпеки, звані “nonces”, для перевірки дозволів.

Серед атак, здійснених за допомогою цієї вразливості, було виявлено понад три десятки спроб, починаючи з 14 лютого, день після публічного оприлюднення вразливості. Атаки здійснювалися з різних IP-адрес, що свідчить про широкий інтерес зловмисників до цього недоліку. WordPress і компанії з кібербезпеки, такі як Wordfence, наголошують на важливості не покладатися виключно на nonces для автентифікації, авторизації чи контролю доступу. Вони рекомендують захищати функції за допомогою current_user_can() і завжди враховувати, що nonces можуть бути скомпрометовані.

Користувачам теми Bricks настійно рекомендується застосувати найновіші виправлення для пом’якшення потенційних загроз. Ця подія є нагадуванням про важливість постійного оновлення програмного забезпечення та використання найкращих практик кібербезпеки для захисту веб-сайтів від атак.

Інші статті по темі
Новини
Читати далі
Афробіт-співак із Британії визнав провину в розкраданні мільйонів через шахрайські атаки на фінансові рахунки
Співак визнав себе винним у зломі електронних листів та брокерських рахунків, вкравши понад 6 мільйонів доларів. За злочини, що включають комп'ютерний злом та шахрайство, йому загрожує до 20 років ув'язнення
352
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.